1. 概要
SnakeKeylogger は、.NET 言語で製作された Infostealer タイプのマルウェアであり、電子メール、FTP、SMTP または Telegram などを利用したデータ流出方法が含まれることが特徴である。SnakeKeylogger は、過去からスパムメールでの拡散が続いており、このマルウェアに関する分析は ASEC Blog でも過去に紹介した[1](韓国語にて提供) ことがある。
今回の記事では、前回掲載した記事で分析した SnakeKeylogger の不正な振る舞いを、当社 EDR 製品のダイアグラムを通じてその証跡を確認し、検知された内容について説明する。
2. EDR 製品の検知
AhnLab EDR 製品では、マルウェアの振る舞いがすべて記録に残るため、侵入経路および不正な振る舞いを容易に把握できる。
2.1 インジェクション
最初、電子メールの添付ファイルで配布される「BankTran.exe」には、内部に暗号化された SnakeKeylogger が含まれており、実行された時点でこのマルウェアを復号化してインジェクションする。
すなわち、「BankTran.exe」は SnakeKeylogger をロードする Loader であり、Injector の役割のみを実行する。
以下のダイアグラムでは、「BankTran.exe」が正常プロセスである RegSvcs.exe を実行後、このプロセスに SnakeKeylogger を Fileless 手法を用いてインジェクションするプロセスを確認できる。
[図1] RegSvcs.exe に SnakeKeylogger マルウェアをインジェクションする振る舞い検知
このような振る舞いは、Native API をフックするセキュリティ製品の検知を回避する目的で主に使用される手法であり、正常な DLL ロード方式ではない。
AhnLab EDR 製品では、[図1]のように異常な方法で DLL をロードする振る舞いを検知している。
また、SnakeKeylogger がインジェクションされる RegSvcs.exe は .NET フレームワークに含まれる MS の正常なファイルである。このローダーはこのような正常プロセスに SnakeKeylogger マルウェアをインジェクションする。
特に、メモリ上でマルウェアを復号化してインジェクションする方式を使用し、ファイルが生成されない Fileless 方式を利用する。
このような不正な振る舞いも、AhnLab EDR 製品では Fileless 手法で検知している。
2.2 情報の窃取
RegSvcs.exe という正常プロセスを装った SnakeKeylogger は、ユーザーの PC から各種情報を収集する。
収集された情報リストは簡単に、電子メール、ブラウザなどがあげられる。
AhnLab EDR 製品では以下の図のように、特定の情報にアクセスする振る舞いを検知する。
[図2] ユーザー PC に存在する複数の個人情報にアクセスする振る舞い検知
2.3 SMTP 送信
SnakeKeylogger は、ユーザー PC から収集した情報を攻撃者に伝達する。伝達方法も複数存在し、Telegram、FTP、SMTP などの方法が存在する。
当事例のマルウェアの場合、攻撃者が窃取した情報を SMTP 方式で伝達することを選択したと見られ、このような不正な振る舞いもまた、AhnLab EDR 製品で検知している。
[図3] 窃取した情報を SMTP で伝達するためネットワークにアクセスする振る舞い検知
3. 結論
AhnLab EDR 製品を通して、SnakeKeylogger マルウェアをロードおよびインジェクションする振る舞いと、その後、情報を窃取する不正な振る舞いのプロセスがわかる。管理者はこのような方式によってマルウェアが実行されたフローを把握することができ、攻撃に晒された後も攻撃対象となったシステムから攻撃者の証跡資料として侵害事故の調査に必要なデータを確認することができる。
振る舞い検知
– Behavior/EDR.Event.M3374
– Suspicious/DETECT.T1561.M2706
– Infostealer/EDR.Event.M2460
– Infostealer/DETECT.T1081.M3351
– Connection/EDR.T1048.003.M11903
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
